La posta elettronica è il principale mezzo di comunicazione in molte organizzazioni, perciò è essenziale stabilire delle regole per il suo utilizzo.
I responsabili IT nei settori altamente regolamentati di sanità e Finance o nelle grandi aziende SpA sono di solito ben consapevoli degli obblighi di legge relativi alla posta elettronica.Per le aziende più piccole o non quotate in borsa e per i settori meno regolamentati, il rispetto della compliance della posta elettronica è spesso poco chiaramente definita. Il compito di assicurarla può perciò scoraggiare, sia per la sua apparente complessità, sia per le serie conseguenze della sua eventuale assenza.
Tali preoccupazioni sono in gran parte prive di fondamento. Per la maggior parte delle organizzazioni la conformità è raggiungibile operando entro un insieme formalizzato di linee guida chiaramente definite, che assicurano il rispetto della legislazione vigente, degli standard etici accettati e delle "migliori pratiche" (best practices). Tali regole devono inoltre indicare come porre rimedio alle violazioni, accidentali o meno. In loro assenza, diventa estremamente difficile rispondere positivamente ed efficacemente a una verifica ("eDiscovery") o peggio, a un'inchiesta. Questo documento spiega la conformità relativamente alla posta elettronica, fornendo una guida semplice e chiara per la gestione della propria infrastruttura e-mail*.
1. Stabilite regole chiare per l'utilizzo della posta elettronica
La posta elettronica è la quintessenza dei mezzi di comunicazione e da essa dipende gran parte dell'attività quotidiana di enti e imprese, sia per le comunicazioni interne che per quelle esterne. Dato che può contenere fino all'80% delle informazioni aziendali, è essenziale stabilire delle regole per il suo utilizzo.
Per iniziare, vanno definiti in modo chiaro e trasparente i limiti dei comportamenti, decidendo ciò che è accettabile e ciò che non lo è, relativamente all'utilizzo della posta elettronica. Un primo semplice passo per dimostrare l'intenzione di soddisfare le leggi è quello di stabilire regole di uso accettabile, esplicite e a livello aziendale, accompagnate dalla capacità di verificarne il rispetto e l'applicazione. Ciò è fondamentale per evitare responsabilità legali. Ad esempio, delle regole tipiche possono essere:
- vietato inoltrare o inviare e-mail contenenti immagini pornografiche;
- limitare le dimensioni degli allegati a 5 MB.
Con le regole in essere, si può poi verificare che le proprie pratiche aderiscano alle leggi locali, nazionali e internazionali che riguardano le comunicazioni di posta elettronica.
Un'ampia gamma di esempi online è reperibile presso gli analisti del settore, quali Forrester, IDC e Gartner.
2. Pevenite la perdita di dati via e-mail
I dati contenuti nel sistema costituiscono informazioni aziendali preziose. Devono pertanto essere attentamente protette dall'invio, accidentale o deliberato, al di fuori (a volte anche all'interno) dell'impresa. Alcune procedure saranno coperte dalle regole aziendali, ma i dipendenti neoassunti o che stanno lasciando l'azienda, i distratti o gli scontenti possono comunque inavvertitamente (o dolosamente) minacciare la sicurezza dei dati.
È essenziale porre in essere un meccanismo automatico e gestito in modo centralizzato per prevenire la perdita di dati, indipendentemente dalle intenzioni o dalla reputazione dei dipendenti. Questa soluzione deve poter:
- bloccare le e-mail per tipo di file dei rispettivi allegati;
- sottoporre a scansione i messaggi per parole chiave;
- aggiungere declinazioni di responsabilità (disclaimer) e banner alle e-mail in tutte le direzioni;
- criptare i messaggi in modo che solo i destinatari voluti li possano leggere;
- assicurare che il sistema di posta non venga infiltrato da utenti sconosciuti e/o malintenzionati.
3. Mantenete la visibilità e l'accesso al traffico corrente e passato
Siate consapevoli (e in grado di rendere conto) delle e-mail in ingresso, in uscita e circolanti nell'organizzazione. È necessario quindi:
conservare e poter accedere ai registri delle comunicazioni e-mail rilevanti, comprese le informazioni di log che mostrano chi ha inviato cosa, a chi e quando;
- conservare e poter accedere agli storage di e-mail, comprese le informazioni di log che mostrano chi ha inviato cosa, a chi e quando;
Scarica una scansione di sicurezza gratuita
- copiare e/o archiviare i messaggi con informazioni sensibili, sia interni che esterni;
- essere in grado di intercettare i messaggi non conformi e reindirizzarli ai responsabili dell'applicazione delle regole, in modo da evitare qualunque occasione di subire dei danni e per poter attuare dei rimedi.
È importante comprendere che non tutte le e-mail contengono dati sensibili, pertanto non tutto dev'essere archiviato e/o criptato. A seconda della vostra area di competenza, ci sono dei limiti temporali per la conservazione di copie delle comunicazioni e-mail.
Inoltre, il costo per memorizzare e accedere a grandi volumi di posta elettronica richiede di saper decidere in anticipo cosa va archiviato o criptato e per quanto tempo.
4. Eliminate spam, phishing e malware
Uno dei mezzi preferiti dagli autori di virus per annidare il malware nei computer e nei sistemi, è la posta elettronica. Le campagne di spam che si modificano rapidamente per evitare il rilevamento usano diversi metodi, quali l'invio di trojan keylogger o di collegamenti a siti web pirata, al fine di rubare informazioni riservate, personali e aziendali.
Dovete assicurare e dimostrare che la vostra infrastruttura e-mail sia protetta da malware, virus, spyware e altre minacce all'integrità di dati e sistemi. Per questo serve una soluzione che blocchi malware, spam e attacchi di tipo "Denial of Service" o per la raccolta di indirizzi e-mail.
Bloccando le minacce dal perimetro fino ai desktop e server di posta interni, eliminerete la maggior parte dei rischi di origine esterna associati alla perdita di dati. Le regole aziendali faranno il resto, a copertura dei rischi di origine interna.
*Declinazione di responsabilità: questo documento non sostituisce alcuna consulenza professionale o legale riguardante problemi di conformità che la vostra organizzazione debba dover risolvere. Per determinare la soluzione migliore, consigliamo fortemente di ricorrere a esperti in conformità.